Anthropic ha portato Claude Security dalla preview privata alla beta pubblica per i clienti Claude Enterprise. È lo strumento di sicurezza applicativa costruito sopra il modello generalmente disponibile più capace dell'azienda, Claude Opus 4.7: scansiona i repository di codice, individua vulnerabilità e propone patch per la revisione. Anthropic dichiara di averlo già fatto provare a centinaia di organizzazioni durante il limited research preview che è durato alcuni mesi.
Cosa fa diversamente da un SAST tradizionale
I SAST classici — Snyk Code, Semgrep, SonarQube — cercano pattern noti: stringhe formattate in modo pericoloso, chiamate a funzioni vulnerabili, mancanza di sanitizzazione su input. Claude Security parte da un'altra premessa: capire come i pezzi del codice interagiscono, seguire i flussi di dato fra moduli, leggere la documentazione e i test. È il vantaggio di lavorare su un LLM da 200 mila token di contesto utile e abilità di tool use. Esempi tipici di bug che il modello trova e i SAST classici fanno fatica a vedere: vulnerabilità di logica (autorizzazione mancante in un endpoint), TOCTOU (time-of-check-to-time-of-use) e attacchi alla supply chain in dipendenze interne.
Per ogni finding, lo strumento propone una patch concreta nel diff, con spiegazione del rischio e link alla sezione del codice. Lo sviluppatore può accettare, modificare o respingere — con motivazione documentata che resta in archivio.
Novità della release
Rispetto al preview privato, la beta pubblica aggiunge tre cose pratiche:
- Scansioni programmate e mirate a una directory specifica del repository, utile per il monorepo dove non vuoi rilanciare tutto a ogni commit.
- Triage tracking migliorato: ogni finding può essere assegnato, archiviato con motivazione, esportato in CSV o Markdown per i sistemi di tracking esterni.
- Webhook verso Slack, Jira e altri strumenti, in modo che la security operation non viva dentro un'altra interfaccia.
Come provarlo
Claude Security è in beta per i clienti del piano Claude Enterprise; il supporto per i piani Team e Max è annunciato per le settimane successive. I passi tipici:
- Accedere alla console di amministrazione Claude Enterprise.
- Nella sezione "Security" attivare la beta e collegare l'account GitHub, GitLab o Bitbucket dell'organizzazione.
- Selezionare i repository da monitorare (è possibile filtrare per branch o directory).
- Configurare la cadenza delle scansioni (on-push, oraria, giornaliera, settimanale).
- Connettere Slack o Jira tramite webhook per ricevere i findings.
Per chi non è ancora su Enterprise ma vuole testare il principio, è disponibile sul tier API una versione self-built: si chiama Opus 4.7 con il prompt di sistema dedicato alla security review pubblicato nel cookbook di Anthropic. Si imposta il modello e si fa girare sull'output di git diff, ottenendo come risposta una lista di problemi e patch. Esempio minimale via API:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $ANTHROPIC_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{
"model": "claude-opus-4-7",
"max_tokens": 4096,
"system": "Sei un revisore di sicurezza. Analizza il diff fornito e segnala vulnerabilita con patch concrete.",
"messages": [{"role": "user", "content": "<diff incollato qui>"}]
}'Limiti e salvaguardie
Anthropic riporta che Opus 4.7 ha safeguard automatici per bloccare prompt che indichino un uso offensivo (creazione di exploit per software altrui, raccolta di credenziali, evasione di sandbox). Sul fronte del falso positivo, l'azienda non ha rilasciato numeri pubblici ma ha pubblicato un white paper interno che parla di un 14% di finding dismissed dai team partecipanti al preview — un dato in linea con i SAST tradizionali su codice maturo. Per le organizzazioni regolate (banche, sanità), l'invio del codice a un modello cloud resta un nodo: Anthropic ricorda che il piano Enterprise prevede zero retention sui dati e disponibilità su AWS Bedrock con processing in regione UE.
